我可以在哪裏學習(或者說是什麼)cookie的範圍,以避免經過身份驗證的用戶的CSRF和XSS攻擊?爲了安全起見,我應該瞭解哪些Cookie域和範圍?
舉例來說,如果我有一個多租戶系統,其中一個用戶可以訪問一個或多個網站什麼是更安全:
- company1.hoster.com
- company2.hoster。 COM
- company3.hoster.com
或
- www.hoster.com/company1
- www.hoster.com/company2
- www.hoster.com/company3
會發生什麼,如果我設置爲 「hoster.com」 餅乾嗎?
我認爲你的意思是XSS(跨站點腳本)。CSRF是一個請求僞造,並且無關緊要(除非受到攻擊的域名的檢查)請求來自哪裏(並且您可以欺騙源頭)。 XSS有一個相同的來源策略,這是一個JavaScript限制,請閱讀 – 2011-04-15 15:37:39
謝謝。我會研究同一來源如何適用於上述情況... – TLDR 2011-04-15 16:05:54